华为技术培训资料-DP500009_IPSEC，IKE原理.ppt

DP500009 IPSECIKE原理 ISSUE1.0 参考资料 VRP ５.30 《操作手册》、《命令手册》 《故障信息收集排错指导书》 。 学习完此课程，您将会： 掌握IPSec的基本概念 了解IPSec的报文格式 掌握IPSec的数据加密流程 掌握IPSec和IKE之间的关系 IPSec IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH（协议号51） 和报文安全封装协议ESP（协议号50）两个协议 IPSec有隧道（tunnel）和传送（transport）两种工作方式 IPSec 的组成 IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 其他的加密算法：Blowfish ，blowfish、cast … IPSec 的安全特点 数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重放（Anti-Replay） IPSec 基本概念 数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 (Crypto Map) 转换方式(Transform Mode) AH协议 ESP 协议 IKE IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥 IKE的安全机制 完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发 IKE的交换过程 DH交换及密钥产生 IKE在IPSec中的作用 降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证 IPSec 与IKE的关系 小结 VPN概念 IPSec原理与工作流程 IKE原理与密钥交换过程 IKE具有一套自保护机制，可以在不安全的网络上安全的分发密钥、认证身份并建立IPSec安全联盟。 完善的前向安全性（PFS：Perfect Forward Security） 是一种安全特性，指一个密钥被破解， 并不影响其他密钥的安全性，因为这些密钥间没有派生关系。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential Security Level: 谢谢 internal IPSec在IP层对IP报文提供安全服务，IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性，以及如何加密数据包。使用IPsec数据就可以安全地在公网上传输。IKE（Internet Key Exchange）为IPSec提供了自动协商交换密钥、建立安全联盟的服务， 能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。 第1章 IPSec 概论 第2章 IKE 概论 数据 IP 包头 数据 IP 包头 AH 数据 原IP 包头 AH 新IP 包头 传输模式 隧道模式 验证数据 序列号 安全参数索引(SPI) 保留域 负载长度 下一个头 AH头结构 0 8 16 31 数据 IP 包头 加密后的数据 IP 包头 ESP头部 ESP头 新IP 包头 传输模式 隧道模式 ESP尾部 ESP验证 ESP尾部 ESP验证 填充字段(0-255字节） 序列号 安全参数索引(SPI) 验证数据 下一个头 填充字段长度 有效载荷数据（可变） 24 16 8 0 ESP协议包结构 数据 原IP 包头 加密部分 第1章 IPSec 概论 第2章 IKE概论 SA交换 密钥交换 ID交换及验证 发送本地 IKE策略 身份验证和 交换过程验证 密钥生成 密钥生成 接受对端 确认的策略 查找匹配 的策略 身份验证和 交换过程验证 确认对方使用的算法 产生密钥 验证对方身份 发起方策略 接收方确认的策略 发起方的密钥生成信息 接收方的密钥生成信息 发起方身份和验证数据 接收方的身份和验证数据 Pe